Im Mai des Jahres identifizierte der US-Sicherheitsspezialist Joe Stewart von SecureWorks eine Gruppe von russischen Hackern, die über 100.000 Computer weltweit infiziert haben soll, um an Passwörter und weitere sensible Daten heranzukommen. Die zuständigen Behörden schritten daraufhin zur Tat und stellten den Betrieb des Kontrollservers der Hacker, der in Wisconsin lokalisiert wurde, ein.

Wie die New York Times nun berichtet, treibt die Gang allerdings nach wie vor ihr Unwesen im Netz, nachdem die Schaltzentrale für die so genannten Botnetz-Attacken in die Ukraine verlegt wurde - fernab des Wirkungsbereichs der US-Ermittler.

Massenweise

Die Hacker setzen für ihre Angriffe auf ein Programm, das mittlerweile unter dem Namen "Coreflood" bekannt ist. Über einen Kontrollserver sowie über bereits infizierte Computer wurden damit kumulierte 378.000 PC in nur 16 Monaten unter Beschlag genommen. Zusätzlich sollen sich die Angreifer in einigen Fällen auch Administrator-Werkzeuge zunutze gemacht haben, um innerhalb von Unternehmen das Schadprogramm zu verbreiten. Als Trittbrettfahrer wurde die Software etwa an System-Updates für Microsoft-Software angehängt, die von Firmen-Servern automatisch in Mitarbeiter-PCs eingespielt wurden.

Heikle Informationen

"Coreflood" sammelt nicht wie andere bekannte Trojaner vor allem Passwörter, sondern auch Bildinformationen. Damit ist es den Gang-Mitgliedern möglich Einblick in Bankverbindungsinformationen zu erhalten, ohne sich mit gestohlenen Daten in fremde Accounts einloggen zu müssen. Die gesammelten Informationen werden anschließend in eine zentrale Datenbank transferiert. Innerhalb eines Jahres dürften so laut Experten rund 500 Gigabyte an sensiblen Daten kopiert worden sein.

Ermittlungen

Joe Stewart und dessen Team wollen nach eigenen Angaben in der Lage sein, mit den bisher gehorteten Informationen über die verantwortlichen Hacker, die Gang zu demaskieren. Nachdem die Ermittlungen noch im Gange sind, wird über die Einzelheiten des Fall noch Stillschweigen bewahrt. Stewart will jedoch schon auf der kommenden IT-Sicherheits- und Hackerkonferenz Black Hat nähre Details zum Wirken der russischen Gang preisgeben. Nach Einschätzung des Spezialisten sollte es möglich sein, die Verantwortlichen ausfindig zu machen, vorausgesetzt die russischen Behörden setzen sich ernsthaft damit auseinander.

Belanglosigkeit

Das Phänomen und die verheerende Wirkung von Botnetzen ist indes schon seit längerem bekannt. Aus dem Bericht der NYT geht allerdings auch hervor, dass viele Unternehmen die drohende Gefahr auf die leichte Schulter nehmen.

"Die Infektionsrate ist ungebrochen hoch, aber die Bedenken unter den Konzernen gering", warnt beispielsweise Rick Wesson, ein Botnetz-Ermittler von Support Intelligence. "Viele Unternehmen scheinen zu denken, es sei in Ordnung ein paar Mal im Monat infiziert zu sein." Nur: In Analogie zu humanoiden Viruserkrankungen stecken einmal infizierte Systeme über kurz oder lang auch andere an. (zw)